GDPR alleato di CIO e Ciso
L’opinione di Massimiliano Micucci, country manager Italy di One Identity
La pressione regolatoria con l’entrata in vigore del GDPR ha convinto il board di molte aziende a incrementare gli investimenti in security, per cui si può dire che per CIO e Ciso è stata ed è una preziosa alleata. Per essere conformi alla normativa è necessario porre particolare attenzione al tema della gestione degli accessi, dei privilegi e della governance delle identità, tematiche che One Identity, in precedenza Quest Software, conosce molto bene e su cui continua a investire.
Gestione delle identità fattore strategico
La gestione delle identità è sempre stato un fattore strategico nella gestione degli ambienti IT, ma, per ridurre i rischi, oggi più che mai è necessario sapere chi, come, quando e in base a quali procedure accede ai dati aziendali. I più vulnerabili sono gli accessi privilegiati, che vanno adeguatamente protetti. Una prima azione da intraprendere, relativamente semplice, è il governo dell’escalation dei privilegi, che consente di rendere l’accesso ai dati con identità privilegiate più sicuro. In secondo luogo, è importante impostare processi ciclici di certificazione, valutandone periodicamente la coerenza con il business. Password e sessioni privilegiate, quindi, devono essere gestite molto attentamente, utilizzando le tecnologie più avanzate, che includono machine learning e intelligenza artificiale, che può dare un contributo anche in ambito security. L’utilizzo di queste tecnologie, però, non deve fare abbassare la guardia: l’interazione uomo-macchina parte sempre dall’uomo, per cui bisogna sapere esattamente chi è autorizzato a fare cosa.
Automazione strada obbligata
L’automazione rappresenta comunque una strada obbligata per velocizzare le attività di security, dal lancio di campagne periodiche di certificazione alla standardizzazione delle policy di sicurezza nelle aziende estese di oggi, che possono avere filiali e impianti produttivi in ogni parte del mondo. Il perimetro aziendale, insomma, oggi è rappresentato dagli utenti che accedono a vario titolo ai dati, e questo implica nuove sfide che coinvolgono i modelli organizzativi e i processi di un’azienda, andando ben oltre le tecnologie. Dipartimenti IT lontani dal business oggi sono anacronistici, per cui gli operatori del settore – vendor, system integrator e service provider – devono affiancarli fornendo prima di tutto un supporto consulenziale.
Appuntamento a domani con Umberto Pirovano, system engineering di Palo Alto Networks
